• <ins id="pjuwb"></ins>
    <blockquote id="pjuwb"><pre id="pjuwb"></pre></blockquote>

    <noscript id="pjuwb"></noscript>
          <sup id="pjuwb"><pre id="pjuwb"></pre></sup>

            <dd id="pjuwb"></dd>
            <abbr id="pjuwb"></abbr>
            

    
            

            




            







												


        


            


            elva
            

            

            

            
	
					
	
            
		
            
			利用NtUnmapViewOfSection強(qiáng)制卸載模塊 
		
            
		確實(shí)可以卸載指定進(jìn)程指定位置的模塊,但有幾個(gè)問(wèn)題:
            [1]  PEB的模塊列表中還存在該模塊的記錄,大部分模塊枚舉函數(shù)都是枚舉這個(gè)列表
            [2]  可能會(huì)出現(xiàn)訪問(wèn)異常

            看來(lái)RING3下是不可能做到強(qiáng)制卸載模塊的完美實(shí)現(xiàn),要進(jìn)ring0才行。下面是測(cè)試代碼
            

            

            typedef ULONG (WINAPI *PFNNtUnmapViewOfSection)( IN HANDLE ProcessHandle,IN PVOID BaseAddress );

            BOOL UnmapViewOfModule ( DWORD dwProcessId, LPVOID lpBaseAddr )
            {
                HMODULE hModule             = GetModuleHandle ( L"ntdll.dll" ) ;
                            if ( hModule == NULL )
                    hModule             = LoadLibrary ( L"ntdll.dll" ) ;

                PFNNtUnmapViewOfSection pfnNtUnmapViewOfSection             = (PFNNtUnmapViewOfSection)GetProcAddress ( hModule, "NtUnmapViewOfSection" ) ;
                
                HANDLE hProcess             = OpenProcess ( PROCESS_ALL_ACCESS, TRUE, dwProcessId ) ;
                ULONG    ret             = pfnNtUnmapViewOfSection ( hProcess, lpBaseAddr ) ;
                CloseHandle ( hProcess ) ;
                            return ret ? false : true ;
            }
            

            

            

		
            
			posted on 2007-09-24 15:08 葉子 閱讀(4815) 評(píng)論(2)  編輯 收藏 引用  所屬分類: 技術(shù)研究 
		
            
	
            
	
	





            
	    
    


            

            Feedback
            
	
	
			
            
				# re: 利用NtUnmapViewOfSection強(qiáng)制卸載模塊 
					
						2009-09-05 03:05
					
				mszjk
			
            
			
            
				這是ring0的代碼么?  回復(fù)  更多評(píng)論
				  
			
            
		
			
            
				# re: 利用NtUnmapViewOfSection強(qiáng)制卸載模塊 [未登錄]
					
						2014-07-28 18:19
					
				小學(xué)畢業(yè)生
			
            
			
            
				NtUnmapViewOfSection可以再Ring3下使用。

            我用VB做給你看

            Private Declare Function NtUnmapViewOfSection Lib "ntdll.dll" (ByVal ProcessHandle As Long ,ByVal BaseAddress As Long)As Long

            Private Declare Function OpenProcess Lib "kernel32" (ByVal dwDesiredAccess As Long ,ByVal bInheritHandle As Boolean, ByVal dwProcessId As Long)As Long

            Private Declare Function GetModuleHandleA Lib "kernel32" (ByVal lpModuleFileName As String) As Long

            Private Declare Function CloseHandle Lib "kernel32" (ByVal hObject As Long) As Long

            Private Sub UnloadNtdll(ByVal PID As Long)

            Dim hProc As Long

            hProc = OpenProcess(&h8 Or &H400, False, PID)

            If hProc = 0 Then Exit Sub

            NtUnmapViewOfSection hProc, GetModuleHandleA("ntdll.dll")

            CloseHandle hProc

            End Sub  回復(fù)  更多評(píng)論
				  
			
            
		

            




            






            

				

            







    
    







            
	   
	



狠狠色丁香婷婷综合久久来|
亚洲中文久久精品无码ww16
|
狠狠色综合网站久久久久久久
|
www亚洲欲色成人久久精品|
国产成人AV综合久久|
香蕉久久AⅤ一区二区三区|
国产亚洲综合久久系列|
久久亚洲欧洲国产综合|
久久精品中文闷骚内射|
久久综合色之久久综合|
国产精品美女久久久久|
久久久久久国产a免费观看黄色大片
|
国产精品久久成人影院|
国产精品中文久久久久久久|
国产精品对白刺激久久久|
中文成人无码精品久久久不卡|
A狠狠久久蜜臀婷色中文网|
九九精品久久久久久噜噜|
99久久精品无码一区二区毛片|
久久香综合精品久久伊人|
无码精品久久一区二区三区|
久久久久久精品免费免费自慰|
欧美日韩精品久久免费|
色婷婷久久久SWAG精品|
伊人色综合久久天天人手人婷
|
国内精品久久久久影院日本
|
亚洲国产精品综合久久网络
|
亚洲综合精品香蕉久久网|
久久久久人妻精品一区
|
亚洲国产精品久久久久|
久久无码人妻精品一区二区三区|
亚洲欧洲精品成人久久曰影片
|
99re久久精品国产首页2020|
一极黄色视频久久网站|
久久久不卡国产精品一区二区|
久久91精品国产91久久户|
99re久久精品国产首页2020|
女人香蕉久久**毛片精品|
99国内精品久久久久久久|
国产精品成人久久久久三级午夜电影|
72种姿势欧美久久久久大黄蕉
|